Trasferimenti di dati personali extra UE: a che punto siamo?

Tra i temi discussi, uno dei principali è stato quello dei trasferimenti all’estero di dati personali: come noto, a seguito dell’invalidazione del Privacy Shield da parte della Corte di Giustizia, è venuta meno la garanzia per il trasferimento negli Stati Uniti e da quel momento, nonostante siano stati avviati diversi tentativi di accordo con il governo USA, i titolari del trattamento sono stati tenuti a considerare tale Paese alla stregua di tutti quelli sprovvisti di una decisione di adeguatezza della Commissione. 

Proprio a seguito delle sentenze Schrems, e ciò per tutti i Paesi sprovvisti di decisione, i titolari hanno dovuto valutare, oltre che il livello di accountability offerto dalle terze parti coinvolte nei trattamenti, anche il livello di protezione di dati personali offerto dal Paese importatore (mediante lo svolgimento di Data Transfer Impact Assessment). 

Il tema affrontato durante il G7 è stato ancora più ampio: si è discusso, infatti, non soltanto sugli USA ma più in generale sulle questioni relative al trattamento sicuro e affidabile dei dati personali oltre confine, nell’ambito di una società sempre più digitalizzata e globale, il “Data Free Flow with Trust” (DFFT), proposto nel 2019 dall’allora premier giapponese Shinzo Abe. 

Nello scorso maggio, infatti, i Ministri del digitale del G7 hanno adottato un piano d’azione per promuovere il DFFT, che ha definito il quadro in quella sede oggetto di confronto. Ciò a cui puntano le Autorità è il raggiungimento di un bilanciamento tra gli interessi, da intendersi come l’economia digitale e la tutela dei diritti individuali dei cittadini. 

Mentre i Garanti si confrontano, però, non bisogna dimenticare che nel giugno 2021 la Commissione Europea ha adottato la Decisione di esecuzione (UE) n. 2021/914 che ha abrogato le decisioni 2001/497/CE e 2010/87/UE relative alle Standard Contractual Clauses per i trasferimenti internazionali di dati a decorrere dal 27 settembre 2021. 

A far data dal 27 settembre 2021, perciò, tutti i nuovi contratti stipulati devono essere già corredati delle nuove SCC, in caso comportino trasferimenti di dati extra UE. Ma non è tutto, poiché anche i contratti antecedenti a tale data dovranno ad un certo punto essere adeguati rispetto all’aggiornamento intervenuto: la Commissione Europea ha attribuito un periodo di grazia fino al 27 dicembre 2022 per i contratti stipulati prima del 27 settembre 2021, purché i trattamenti oggetto dei contratti siano rimasti invariati e il ricorso a tali clausole garantisca che il trasferimento di dati personali sia soggetto a garanzie adeguate. 

I titolari si saranno adoperati andando a prevedere un processo di adeguamento dei contratti che prevedono un trasferimento all’estero? Si tratta infatti di mappare tutti i fornitori/partner che trattano dati personali extra UE o fuori dallo Spazio Economico Europeo, verificare che tutti i fornitori/partner nuovi – che effettuano trasferimenti di dati - contrattualizzati dal 27 settembre 2021 in avanti abbiano sottoscritto le nuove SCC, aggiornare le checklist di assessment trasferimenti (“DTIA”) già presenti e inviare le nuove DTIA ai fornitori che effettuano trasferimenti assegnando un termine tassativo al fornitore/partner per il riscontro, quindi inviare ai fornitori/partner mappati che effettuano trasferimenti di dati – e che abbiano o meno restituito la DTIA compilata – le SCC aggiornate e compilate (in base al modulo specifico). Il tutto dovrà essere svolto entro il prossimo 27 dicembre 2022. 

Il tema dei trasferimenti, già di per sé attuale considerata l’incombente scadenza, in Italia è tornato un trend anche e soprattutto a seguito del provvedimento del Garante privacy del 9 giugno scorso sul cookie Google Analytics: in occasione di tale provvedimento, il Garante ha affermato che l’installazione di tale cookie comporta un trasferimento negli Stati Uniti assolutamente da evitare, considerato che, in sede di assessment, Google non è in grado di garantire misure tecniche ed organizzative adeguate ad un livello di protezione dei dati equivalente a quello europeo. 

I titolari sono quindi tenuti in parte ad accelerare i loro processi di adeguamento alle nuove SCC (se presenti), quantomeno con riferimento al provider Google, per poi procedere con particolare cautela anche con riguardo agli altri fornitori stabiliti negli USA. 

La violazione della normativa sui trasferimenti, di cui agli artt. 44 ss. del GDPR, è soggetta a sanzioni amministrative pecuniarie fino a 20.000.000 Euro, o per le imprese, fino al 4 per cento del fatturato mondiale totale annuo dell'esercizio precedente, se superiore. 

A ciò si aggiunga che nella giurisprudenza italiana e non solo la compliance data protection sta assumendo il valore di requisito fondamentale per la partecipazione e l’aggiudicazione ai bandi di gara, pubblici e privati, con ogni relativa conseguenza per i titolari del trattamento. ​